Android藏重大漏洞，點擊PNG圖片就可能遭受遠程攻擊

Google在今年2月發布的Android安全更新中，修補了3個涉及PNG文件的重大漏洞，相關漏洞允許黑客在PNG中植入惡意程序，用戶只要點擊PNG圖片就能觸發漏洞，而惹來遠程程序攻擊。

PNG文件的全名為Portable Network Graphics，為一專為網路傳輸所設計的文件格式，並準備用來取代GIF。

根據Google的說明，本次更新最嚴重的安全漏洞藏匿在框架（Framework）中，允許遠程黑客通過特定的PNG文件，在特權流程中執行任意程序，包括CVE- 2019-1986、CVE-2019-1987及CVE-2019-1988，波及從Android 7.0到Android 9的各種Android版本。

這代表Android用戶只要點擊可愛的貓、狗圖片，或是看起來無害的風景照，都可能遭到遠程程序攻擊。

來自Tripwire的安全研究人員Craig Young指出，相關漏洞與Android在描繪圖片之前如何進行解析有關，這些漏洞之所以存在是因為Android依然在特權流程中解析媒體文件。 Young認為，媒體處理是風險最高的活動之一，自動化的媒體解析不但應該要保持在最低限制，也應該在隔離的環境中執行。

儘管Google宣稱尚未發現黑客的攻擊行動，而且已將修補版本發布至Android開源項目（Android Open Source Project，AOSP），但目前只有諸如Pixel等Google品牌的設備可直接取得Google的安全更新，至於其它品牌的手機或平板則仍得視設備製造商或電信企業的更新進程才能取得修補，意味著仍有眾多的Android設備陷於該重大安全風險中。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！